建立第一個子網路

Google Cloud VMware Engine 會為每個私有雲建立網路,並使用 VLAN 進行網路管理。對於工作負載虛擬機器 (VM),您會在私有雲的 NSX Manager 上建立子網路做為網路區隔。VMware Engine 包含 NSX,可提供工作負載網路和安全功能,例如微區隔和防火牆政策。本頁說明如何使用 NSX Manager 為工作負載建立子網路。

事前準備

本快速入門導覽課程假設您已完成下列事項:

  1. 已建立 Google Cloud VMware Engine 私有雲。您可以完成下列快速入門指南來建立私有雲: 建立第一個私有雲
  2. 網路中分配的位址範圍,用於下列用途:
    • DHCP 服務
    • NSX 工作負載網路區隔的子網路

從 VMware Engine 入口網站存取 NSX Manager

建立子網路的程序會在 NSX 中進行,您可以透過 VMware Engine 存取 NSX:

  1. 前往 Google Cloud 控制台的「Private clouds」頁面。

    前往 Private Cloud

  2. 按一下「選取專案」,然後選取私人雲所在的機構、資料夾或專案。

  3. 按一下要建立子網路的私有雲名稱。

  4. 在「管理裝置」下方,按一下 NSX Manager 對應的「網址」

  5. 按照系統提示輸入登入憑證。提醒您,您可以從私有雲詳細資料頁面擷取產生的憑證

如果您已設定 vIDM 並連結至身分識別來源 (例如 Active Directory),請改用身分識別來源憑證。

為子網路設定 DHCP 服務

建立子網路前,請先設定 DHCP 服務:

  1. 在 NSX 中,依序前往「Networking」(網路)>「DHCP」。網路資訊主頁會顯示服務建立一個第 0 層和一個第 1 層閘道。

  2. 如要開始佈建 DHCP 伺服器,請按一下「新增 DHCP 設定檔」

  3. 在「DHCP name」(DHCP 名稱) 欄位中,輸入設定檔名稱。

  4. 在「Profile type」(設定檔類型) 部分,選取「DHCP server」(DHCP 伺服器)

  5. 在「伺服器 IP 位址」欄中,提供 DHCP 服務 IP 位址範圍。

  6. 按一下「儲存」,建立 DHCP 服務。

接著,將這個 DHCP 服務附加至相關的第 1 層閘道。服務已佈建預設的第 1 層閘道:

  1. 在 NSX 中,依序前往「Networking」> Tier-1 Gateways
  2. 按一下第 1 層閘道旁邊的垂直刪節號 ,然後選取「編輯」
  3. 在「DHCP」欄位中,按一下「設定 DHCP 設定」連結。
  4. 將「Type」(類型) 設為「DHCP Server」(DHCP 伺服器),然後選取您剛才建立的「DHCP Server Profile」(DHCP 伺服器設定檔)
  5. 按一下 [儲存]
  6. 按一下「關閉編輯」

您現在可以在 NSX 中建立網路區隔。如要進一步瞭解 NSX 中的 DHCP,請參閱 VMware 的 DHCP 說明文件

在 NSX 中建立網路區隔

對於工作負載 VM,您要為私有雲建立子網路做為 NSX 網路區隔:

  1. 在 NSX 中,依序前往「Networking」>「Segments」
  2. 按一下 [Add Segment] (新增區隔)
  3. 在「區隔名稱」欄位中,輸入區隔的名稱。
  4. 在「Connected Gateway」(已連線的閘道) 清單中,選取「Tier1」即可連線至第 1 層閘道。
  5. 在「Transport zone」(傳輸區域) 清單中,選取「TZ-OVERLAY | Overlay」(傳輸區域 - 疊加)
  6. 在「Subnets」(子網路) 欄中,輸入子網路範圍。指定子網路範圍,並以 .1 做為最後一個八位元。例如:10.12.2.1/24
  7. 按一下「Set DHCP Config」(設定 DHCP),然後在「DHCP Ranges」(DHCP 範圍) 欄位中提供值。
  8. 按一下「套用」,儲存 DHCP 設定。
  9. 按一下 [儲存]。現在在 vCenter 中建立 VM 時,可以選取這個網路區隔。

在特定區域中,您最多可以透過私人服務存取權,從 VMware Engine 向虛擬私有雲網路通告 250 個不重複的路徑。舉例來說,這些專屬路徑包括私有雲管理 IP 位址範圍、NSX 工作負載網路區隔,以及 HCX 內部 IP 位址範圍。這項路徑限制包含該區域中的所有私有雲,且對應於 Cloud Router 取得的路徑限制。

如要瞭解路由限制,請參閱 Cloud Router 配額與限制

NSX 中子網路設定和路徑重新發布的最佳做法

為確保網路運作順暢,並防止路由迴圈和服務中斷,請在 NSX 中設定子網路和路由重新發布時,遵循下列準則:

  1. 子網路重疊: 避免子網路重疊 - 確保 VMware Engine 中使用的 IP 子網路是唯一的,且不會與私有雲或外部網路中的子網路重疊。重疊可能會導致轉送問題,並中斷服務。
  2. 第 0 層路徑重新分配
    • 自動重新發布 - VMware Engine 會使用 BGP,在第 0 層路由器中重新發布已連線第 1 層區隔的路徑,確保工作負載與外部世界之間的連線正常運作。
    • 重新發布靜態路徑 - 在第 0 層重新發布靜態路徑時,請務必先拒絕預設路徑 (0.0.0.0/0),然後使用前置字元清單允許所有流量,以免發生轉送迴圈。如要這麼做,您應在第 0 層閘道上為兩個 BGP 鄰居建立並附加前置字串清單,因為 VMware Engine 已在第 0 層閘道上設定指向基礎架構的預設路徑 (0.0.0.0/0),您可以按照接下來兩節的步驟操作。

在 NSX 中建立前置字串清單

如要在 VMware Engine 的 NSX 中建立前置字元清單,請按照下列步驟操作:

  1. 在 NSX 中,依序前往「Networking」> Tier-0 Gateways
  2. 按一下選單圖示 (三點),然後按一下「編輯」
  3. 按一下「轉送」
  4. 按一下「IP 前置字元清單」旁的「設定」
  5. 按一下「新增 IP 前置字元清單」
  6. 輸入 IP 前置字串清單的名稱。
  7. 按一下「設定」,新增 IP 前置字元。
  8. 按一下「新增前置字元」
    1. 在「Network」(網路) 欄位中,輸入關鍵字「any」。
    2. 保留所有欄位的值,然後在「動作」欄位中,從下拉式選單選取「允許」
    3. 按一下「新增」
  9. 再次點選「新增前置字元」
    1. 在「網路」欄位中,以 CIDR 格式輸入 IP 位址,例如 0.0.0.0/0
    2. 保留所有欄位的值,然後在「動作」欄位中,從下拉式選單選取「拒絕」。
    3. 按一下「新增」
  10. 按一下 [套用]
  11. 依序點選「儲存」>「關閉」

將前置字串清單附加至兩個 BGP 鄰居

建立前置字串清單後,下一個工作是將前置字串清單附加至 NSX 中的 BGP 鄰居,方法如下:

  1. 在 NSX 中,依序前往「Networking」> Tier-0 Gateways
  2. 按一下選單圖示 (三點),然後按一下「編輯」
  3. 按一下「BGP」BGP
  4. 按一下「BGP 鄰居」
  5. 按一下選單圖示 (三點),然後選取「編輯」
  6. 按一下「路徑篩選器」
  7. 按一下選單圖示 (三點),然後選取「編輯」
  8. 按一下「Out Filter」(輸出篩選器) 欄位中的「Configure」(設定)
  9. 選取先前建立的前置字元清單名稱。
  10. 按一下 [儲存]
  11. 依序點選「新增」>「套用」
  12. 按一下 [儲存]
  13. 如要更新其他 BGP 鄰居,請重複步驟 5 到 13。
  14. 按一下「關閉編輯」

後續步驟